Privacy, quali sono i compiti del DPO?

In vista dell’entrata in vigore in tutti gli Stati dell’Unione Europea del nuovo Regolamento europeo sulla privacy (25 maggio), analizziamo quali devono essere i compiti del DPO.  La figura del Data Protection Officer (DPO), da non confondere con il “titolare del trattamento” o con il “responsabile del trattamento”, può essere considerata come un’evoluzione della figura del “privacy officer”.

Tra gli incarichi assegnati al DPO figurano:

• attività di informazione e consulenza al titolare o al responsabile del trattamento, nonché ai dipendenti che eseguono il trattamento, sugli obblighi derivanti dal regolamento e da altre disposizioni dell’Unione o degli Stati membri in materia di protezione dei dati;
• sorveglianza sull’osservanza, da parte del titolare o del responsabile del trattamento,
  del regolamento e delle altre disposizioni dell’Unione o degli Stati membri in materia di protezione dei dati, compresa l’attribuzione delle responsabilità, sensibilizzazione e formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
• fornire, se richiesto, un parere sulla “valutazione d’impatto” della protezione dei dati e sorvegliarne l’adempimento ai sensi dell’art. 35;
• cooperare con l’autorità di controllo, e fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

La circostanza che la norma specifichi che il DPO deve svolgere “almeno” questi compiti significa che nulla impedisce al Titolare del trattamento di assegnargli compiti ulteriori rispetto a quelli espressamente elencati nel paragrafo 1, oppure di specificare ulteriormente i compiti suddetti.

La nuova privacy : adempimenti, sanzioni e opportunità di business dopo il GDPR
Videoconferenza in Diretta GRATUITA – 23 marzo – 15.00-16.00
ISCRIVITI SUBITO

Il DPO, come prescritto dal paragrafo 2 dell’art. 39, deve considerare, nell’esecuzione dei propri compiti, i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.

È una disposizione con la quale si chiede al DPO di definire un ordine di priorità nell’attività svolta e di rivolgere una attenzione prioritaria alle questioni che presentino i rischi più elevati in termini di protezione dei dati. Ciò al fine di essere più facilmente in grado di consigliare al titolare quale metodologia seguire nello svolgere una DPIA, a quali settori riservare un audit in termini di protezione dei dati, quali attività di formazione interna prevedere per il personale o amministratori che trattino dati personali e a quali trattamenti dedicare maggiori risorse e tempo.

Articolo tratto da